EP2891268B1

EP2891268B1 - Gruppensignatur unter verwendung eines pseudonyms

Info

Publication number: EP2891268B1
Application number: EP14712007.5A
Authority: EP
Inventors: Alain PATEY; Hervé Chabanne; Julien Bringer
Original assignee: Safran Identity and Security SAS
Current assignee: Idemia Identity and Security France SAS
Priority date: 2013-03-25
Filing date: 2014-03-25
Publication date: 2016-09-28
Anticipated expiration: 2034-03-25
Also published as: ES2602054T3; EP2891268A1; IL240539B; US20160013946A1; CA2895189C; US9860069B2; WO2014154694A1; FR3003713B1; IL240539A0; CA2895189A1; FR3003713A1

Claims

Signaturverfahren einer Nachricht (m), umgesetzt von Verarbeitungsmitteln einer Benutzervorrichtung eines zu einer Mitgliedergruppe (
), die von einer Schlüsselverwaltungsautorität verwaltet wird, gehörenden Mitglieds (M_i), wobei die Benutzervorrichtung einen Geheimsignaturschlüssel (sk_i) besitzt,
umfassend einen Erzeugungsschritt (E301) für die Nachricht (m) einer Gruppensignatur (σ), die es dem Mitglied (M_i) ermöglicht, seine Zugehörigkeit zur Mitgliedergruppe (
) zu beweisen, und einen Erzeugungsschritt (E302) eines Pseudonyms (nym_ij), welches das Mitglied (M_i) in einem Bereich (D_j) eines Diensteanbieters (SP_j) identifiziert, wobei der Bereich eine Gruppe von Kommunikationsterminalen mit einem Server des Diensteanbieters umfasst,
wobei die Gruppensignatur (σ) derart konstruiert ist, dass das Mitglied (M_i) bei Unterzeichnung der Nachricht (m) seine Kenntnis des Geheimsignaturschlüssels beweisen kann, ohne ihn zu offenbaren,
und dadurch gekennzeichnet, dass die Gruppensignatur (σ) derart konstruiert ist, dass die Zugehörigkeit des Mitglieds (M_i) zur Gruppe unabhängig vom Pseudonym (nym_ij) verfifizierbar ist,
und dass der Geheimsignaturschlüssel (sk_i) des Mitglieds (M_i) mindestens einen ersten Schlüsselteil (f_i), der von den Verarbeitungsmitteln der Benutzervorrichtung des Mitglieds verwaltet wird und der Schlüsselverwaltungsautorität unbekannt ist, umfasst,
und das Pseudonym und die Signatur von einem zweiten Teil (x_i) des Geheimsignaturschlüssels des Mitglieds (M_i) abhängen und derart konstruiert sind, um zu beweisen, dass das von dem Pseudonym identifizierte Mitglied der Unterzeichner der Nachricht (m) ist,
und dass das Pseudonym (nym_ij) des Mitglieds (M_i) für den Bereich (D_j ) spezifisch ist.
Signaturverfahren nach vorangehendem Anspruch, dadurch gekennzeichnet, dass der Geheimsignaturschlüssel (sk_i) in einem abgesicherten Speichermittel gespeichert ist.
Signaturverfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass vor den Schritten der Erzeugung einer Gruppensignatur und eines Pseudonyms das Verfahren einen Schlüsselerzeugungsschritt (E100) umfasst, der von einem Schlüsselerzeugungsserver der Schlüsselverwaltungsautorität umgesetzt wird, bei dem Verarbeitungsmitteln des Verwaltungsservers:
- für die Mitgliedergruppe (
) eine Gruppe öffentlicher Parameter (gpk) (E101) generieren,

- einen Bereichsparameter (dpk_j) bestimmen, der spezifisch für den Bereich (D_j) (E102) ist, und,

- diesen Parameter an den Diensteanbieter (SP_j) (E103) übertragen.
Signaturverfahren nach Anspruch 3, dadurch gekennzeichnet, dass der Bereichsparameter (dpk_j) gleich g ₁ ^rj ist mit r_j als Ganzzahl und g1 als Generator einer Gruppe G1, wobei g1 ein Parameter aus der Gruppe öffentlicher Parameter (gpk) ist.
Signaturverfahren nach Anspruch 4, dadurch gekennzeichnet, dass die Ganzzahl r_j von der Schlüsselverwaltungsautorität bestimmt wird.
Signaturverfahren nach einem der Ansprüche 3 bis 5, dadurch gekennzeichnet, dass das Pseudonym (nym_ij) des Mitglieds (M_i) im Bereich (D_j) vom Bereichsparameter (dpk_j) abhängt, der spezifisch für den vom Verwaltungsserver bestimmten Bereich (D_j) ist.
Kontrollverfahren einer Signatur einer Nachricht (m) und eines Pseudonyms, das von Verarbeitungsmitteln eines Kontrollservers umgesetzt wird, wobei die Signatur (σ) und das Pseudonym (nym_ij) gemäß dem Verfahren nach einem der vorangehenden Ansprüche erzeugt (E500) werden,
umfassend einen Überprüfungsschritt (E601) auf der Basis der Signatur (σ) und des Pseudonyms (nym_ij) der Kenntnis durch das Mitglied (M_i) des Geheimsignaturschlüssel (sk_i) und dass das Pseudonym und die Signatur des Mitglieds (M_i) von einem zweiten Teil (x_i) des Geheimsignaturschlüssel abhängen, um zu beweisen, dass das durch das Pseudonym identifizierte Mitglied der Unterzeichner der Nachricht (m) ist und dass es zu der Mitgliedergruppe (
) gehört.
Kontrollverfahren nach Anspruch 7, dadurch gekennzeichnet, dass der Überprüfungsschritt einen Beweisüberprüfungsschritt umfasst, bei dem die Verarbeitungsmittel des Kontrollservers überprüfen, dass ein Null-Offenbarungs-Kenntnisbeweis, der beweist, dass das durch das Pseudonym identifizierte Mitglied der Unterzeichner der Nachricht (m) ist, richtig ist.
Kontrollverfahren nach Anspruch 8, dadurch gekennzeichnet, dass das Pseudonym (nym_ij) gleich dpk_j ^xi ist mit xi als zweiter Teil des Geheimsignaturschlüssels des Mitglieds (M_i) und dpk_j als ein Parameter des spezifischen Bereichs des Bereichs und dass Signatur (σ) einen Wert K umfasst, der sich vom Pseudonym (nym_ij) unterscheidet, der Form B^xi mit B als Element der Gruppe G1 und xi als zweiter Geheimsignaturschlüssel des Mitglieds (M_i) und dass der Beweisüberprüfungsschritt die Gleichheit der diskreten Logarithmen des Werts K in Bank B und des Pseudonyms nym_ij in Bank dpk_j überprüft.
Kontrollverfahren nach einem der Ansprüche 8 bis 9, dadurch gekennzeichnet, dass der Überprüfungsschritt eine Überprüfung der Signatur umfasst, um die Zugehörigkeit des Mitglieds (M_i) zur Gruppe zu beweisen und dass der Beweisüberprüfungsschritt bei der Überprüfung der Signatur durchgeführt wird.
Rechnerprogramm, umfassend Programmcodeinstruktionen für die Ausführung der Schritte des Verfahrens nach einem der vorangehenden Ansprüche, wenn das Programm auf einem Rechner ausgeführt wird.
Benutzervorrichtung (201), umfassend mindestens ein Speichermittel, ein Verarbeitungsmittel und eine Kommunikationsschnittstelle, dadurch gekennzeichnet, dass sie konfiguriert ist, um ein Verfahren nach einem der Ansprüche 1 bis 6 umzusetzen.
Kontrollserver (205s), umfassend mindestens ein Speichermittel, ein Verarbeitungsmittel und eine Kommunikationsschnittstelle, dadurch gekennzeichnet, dass er konfiguriert ist, um ein Verfahren nach einem der Ansprüche 7 bis 10 umzusetzen.
System, dadurch gekennzeichnet, dass es mindestens eine Benutzervorrichtung (201) nach Anspruch 12 und mindestens einen Kontrollserver (205s) nach Anspruch 13 umfasst.